一、业界动态
安全专家已提取用于加密英特尔CPU微代码的密钥
安全研究专家已经成功提取了用于加密英特尔处理器微代码更新的密钥,而这可能会对芯片的使用方式以及保护方式产生广泛且深远的影响。英特尔对处理器发布的微代码更新(修复安全漏洞和其他类型错误)通常会经过加密,而伴随着密钥的提取,意味着恶意黑客或业务爱好者使用自己的微代码更新处理器。
https://new.qq.com/rain/a/20201031A0346D00
Area1发布Office 365电子邮件防御系统威胁分析报告
Area1发布了Office 365电子邮件防御和知名安全电子邮件网关(SEG)面临的主要威胁的分析报告。报告显示,从2020年3月到8月的六个月中,有超过925000封恶意电子邮件成功绕过了Office 365防御和SEG。此外,攻击者越来越多地使用高度复杂的、有针对性的攻击活动来逃避基于已知威胁的传统电子邮件防御,例如商业电子邮件攻击。其中,Type 3 BECs(基于账户控制的)和Type 4 BEC (供应链网络钓鱼)可能已造成数十亿美元的潜在损失。
https://www.area1security.com/office-365-anniversary-email-threats-report/
微软称伊朗黑客组织APT35成功入侵多个知名人士邮箱
Microsoft的威胁情报中心(MSTIC)披露,黑客组织APT35成功入侵参与今年慕尼黑安全会议和Think 20(T20)峰会的多个知名人士的电子邮件帐户。此次事件的受害者包括为国家制定全球议程和外交政策的前大使和其他高级政策专家。根据MSTIC的分析,此次攻击为网络间谍活动,旨在通过窃取受害者的邮箱内容和联系方式来收集情报,并表示该活动与美国大选并无关系。
https://www.bleepingcomputer.com/news/security/microsoft-iranian-attackers-hacked-security-conference-attendees/
美财政部宣布对Triton恶意软件幕后开发者实施制裁
在 2018 年的一份报告中,FireEye 推测俄罗斯 CNIIHM(又名 TsNIIKhM)就是 Triton 恶意软件的幕后开发者。经过长时间的深入调查,美方现已决定对该机构实施制裁。
https://tech.sina.com.cn/roll/2020-10-24/doc-iiznezxr7833303.shtml
二、关键基础设施
超过100个ICC PRO灌溉系统暴露
安全公司Security Joes发现超过100个ICC PRO灌溉系统暴露,其中大半分布在以色列。Security Joes表示用户在安装ICC PRO系统时未更改默认出厂设置,因此可利用Shodan等物联网搜索引擎轻松地找到它们。攻击者在找到可访问的ICC PRO系统后,通过输入默认管理员用户名即可访问智能灌溉控制面板,然后暂停或停止浇水、更改设置、控制输送到泵的水量和压力、或通过删除用户来锁定灌溉系统。这些系统超过一半位于以色列,其余的分布在全球各地。
https://www.zdnet.com/article/over-100-irrigation-systems-left-exposed-online-without-a-password/
黑客可利用Hörmann网关设备中漏洞远程控制车库门
SEC Consult研究人员发现,黑客可利用Hörmann网关设备中漏洞远程控制车库门。Hörmann是一家德国公司,专门从事家用和工业门,是世界第四大门类制造商。安全公司发现该网关设备共有15个漏洞,包括与加密有关的问题、通信保护不力以及相关的移动应用中漏洞。这些漏洞可被用来进行两种攻击,一种是需要访问本地网络的攻击,另一种是从互联网远程发起的攻击。连接到本地网络的攻击者可以通过手机执行一个小脚本打开Hörmann门,而无需要身份验证。
https://www.securityweek.com/hackers-can-open-doors-exploiting-vulnerabilities-h%C3%B6rmann-device
三、安全事件
黑客入侵特朗普竞选网站并传播虚假信息
政府官员表示,黑客在选举日前一周的星期二入侵了唐纳德·特朗普的竞选网站。donaldjtrump.com网站被“这个网站被查封了”消息所取代,并表示“世界已经受够了唐纳德·J·特朗普总统每天散播的假新闻”。此外,黑客还呼吁网民捐赠Monero数字货币以支持或反对泄露与特朗普有关的证据。特朗普竞选发言人Tim Murtaugh表示,该网站很快得到修复并没有任何敏感数据泄露,此次攻击的来源还在调查中。
https://www.securityweek.com/trump-campaign-website-broken-hackers
家具公司Steelcase感染Ryuk导致系统暂时关闭
全球最大的办公家具制造商Steelcase称其在10月22日遭到Ryuk勒索软件攻击,并导致系统暂时关闭。该公司发布声明称其在信息技术系统上发现了网络攻击,并迅速采取了一系列遏制措施来解决这种情况,包括暂时关闭受影响的系统和相关操作。目前,公司尚不知道此攻击导致的具体系统数据丢失或资产损失,但公司预计该事件不会对其业务运营或财务业绩产生重大影响。
https://www.bleepingcomputer.com/news/security/steelcase-furniture-giant-hit-by-ryuk-ransomware-attack/
CISA和CNMF发布新恶意软件变体Zebrocy的分析报告
网络安全和基础设施安全局(CISA)和国防部(DOD)网络国家宣教部队(CNMF)发现新的恶意软件变体Zebrocy。该变体是一个32位的Windows可执行文件,使用Golang编程语言编写,采用的参数应为异或(XOR)和十六进制编码的统一资源标识符(URI),或者可以使用纯文本URI运行。执行时,它将使用高级加密标准(AES)-128电子密码簿(ECB)算法对URI进行加密,并使用从受害者的主机名生成的密钥,此外还会收集目标系统的信息。
https://us-cert.cisa.gov/ncas/current-activity/2020/10/29/cisa-and-cnmf-identify-new-malware-variant-zebrocy
Trustwave发现黑客在暗网出售1.86亿美国选民信息
网络安全公司Trustwave发现黑客在暗网出售了超过2亿美国人的个人识别信息,其中包括1.86亿美国选民信息。泄漏的数据包括姓名、电子邮件地址、电话号码和选民登记记录。Trustwave表示这些数据是由近年来企业遭到各种攻击所泄露的数据以及从政府网站检索的公开数据组成的,可用于社交媒体、电子邮件网络钓鱼以及文本和电话诈骗活动和虚假信息宣传活动。
https://www.nbcnews.com/politics/2020-election/cybersecurity-firm-finds-hacker-selling-info-148-million-u-s-n1244211
四、漏洞事件
威联通(QNAP)披露其QTS中的两个命令注入漏洞
威联通(QNAP)披露其QTS中的两个命令注入漏洞(CVE-2020-2490和CVE-2020-2492)。QTS是网络附加存储设备的操作系统,利用该漏洞可允许任意命令执行。NAS设备供应商未提供有关这两个问题的太多详细信息,但表示最新版本的QTS包含必需的补丁程序,用户只要将QTS操作系统更新到版本QTS 4.4.3.1421 build 20200907就不必担心。
https://www.bleepingcomputer.com/news/security/qnap-warns-of-new-qts-bugs-that-allow-take-over-of-devices/
研究人员发现可通过Waze API中漏洞追踪任意用户的位置
研究人员Peter Gasper发现可通过Waze API中漏洞追踪任意用户的位置。当用户报告前方有道路障碍或警察巡逻时,Waze API会将该用户的ID和用户名一起返回给在该地方行驶的其他用户。除非用户进行了注释,否则应用中不会显示此数据,但在API响应中会包含用户名、ID、事件的位置、甚至是报告时间。由于大多数用户将其真实姓名作为用户名,因此攻击者有可能建立一个包含用户姓名和ID的数据库。
https://latesthackingnews.com/2020/10/25/waze-app-vulnerability-could-allow-tracking-users-location/